Salt Typhoon a révélé une vérité troublante : les SMS ne peuvent plus être considérés comme confidentiels. Une grande partie du trafic SMS mondial est interceptée, ce qui rend vulnérables toutes les applications qui reposent sur des codes reçus par SMS.
Les applications de messagerie qui utilisent un numéro de téléphone comme identifiant sont particulièrement affectées. Les pirates peuvent intercepter vos messages, en envoyer en votre nom et même accéder à votre historique de conversations.
Cette attaque montre l’importance d’utiliser des applications comme Olvid, Threema ou d’autres, qui ne reposent pas sur des identifiants faibles comme les numéros de téléphone pour assurer la sécurité.
Le 25 octobre, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une déclaration conjointe avec le FBI. Ils ont indiqué que plusieurs réseaux de télécommunication civils avaient été compromis. La menace, appelée Salt Typhoon, est probablement affiliée au Ministère de la Sécurité de l’État chinois.
Les données compromises incluent les SMS, accessibles en clair sur les réseaux des opérateurs. Deux officiels du FBI, dans une interview à NBC News, recommandent l’utilisation de messageries instantanées chiffrées plutôt que les SMS, dont la confidentialité est maintenant compromise.
Le SMS : Un Moyen de Communication Vulnérable
Les SMS utilisent une technologie des années 90 qui ne garantit pas la confidentialité. Les attaques de sim swappingpermettaient déjà à des pirates d’usurper votre numéro pour recevoir vos SMS. Maintenant, ces messages peuvent être interceptés en clair par des pirates sur les réseaux de certains fournisseurs d’accès majeurs.
Le contenu d’un SMS ne doit plus jamais être considéré comme confidentiel. Il faut partir du principe que « tout le monde » y a accès. Même si ce n’est pas le cas en pratique, cette approche évite de graves déconvenues.
L’Impact Potentiel de l’Attaque Salt Typhoon
L’attaque Salt Typhoon a des implications plus vastes qu’il n’y paraît : vos SMS peuvent être interceptés. Les pirates peuvent prendre le contrôle de tous vos comptes utilisant ce type d’authentification. Il est crucial d’opter pour des solutions de messagerie sécurisées et de se méfier des méthodes d’authentification utilisant les SMS.
Comment se Protéger ?
Est-il suffisant de suivre les recommandations du FBI et d’utiliser des messageries chiffrées de bout en bout ? Pas forcément.
Nous l’avons souligné lors du piratage des comptes Telegram de plusieurs députés : choisir une messagerie dont l’identifiant est un numéro de téléphone est une erreur de sécurité. Pourquoi ? Il faut prouver que vous détenez ce numéro, souvent via un code reçu par SMS. Quiconque accède à ce SMS peut se faire passer pour vous. Ce code doit rester confidentiel pour garantir la sécurité, mais comme nous l’avons vu, rien de ce qui est envoyé par SMS ne peut être considéré comme tel.
En résumé : le contenu d’un SMS n’est pas confidentiel. Une messagerie reposant sur la confidentialité d’un code SMS n’est pas sécurisée.